Jboss漏洞导致Linux服务器中毒解决办法

Jboss漏洞导致Linux服务器中毒解决办法

中毒现象

1.  网络出现拥塞，访问延迟增加。 2.  系统定时任务表中出现异常的定时任务。 3.  出现异常进程。 4.   $JBOSS_HOME/bin或/root目录下出现大量的异常文件。     现象分析 　　这是最近网上流行的一种蠕虫病毒，它利用Jboss中间件程序的jxm-console与web-console默认帐户漏洞进行攻击，感染linux服务器，成为僵尸代理。 1.  出现网络拥塞的原因是该蠕虫病毒利用名为pnscan工具不断执行端口扫描。发出大量的请求包，占用网络带宽。 2.   在系统定时任务表中可查看到名为如下的异常定时任务（有时候只有其中2个）。 crontab –l

.sysync.pl与.sysdbs都是隐藏文件，可以通过ls –la列表查看到。

3.  查看进程，可以检查到以下异常进程

有些服务器上还可以看到一些javas的异常进程，请确认这些javas进程，是否应用程序调用的java。 4.       在$JBOSS_HOME/bin或/root目录下出现大量如下异常文件

其中kisses.tar.gz就是病毒源码安装包，安装后生成以上文件。   解决方法   步一：查杀病毒 Killall -9 javas Killall -9 pns Killall -9 perl   cd /root　或  cd $JBOSS_HOME/bin rm –rf bm* rm –rf *.pl rm –rf treat.sh rm –rf install-sh rm –rf version* rm –rf kisses* rm –rf pns* rm –rf Makefile rm –rf ipsort rm –rf kisses* rm –rf .sysdbs rm –rf .sysync.pl   crontab –e 1 1 10 * * ~/.sysdbs 1 1 24 * * perl ~/.sysync.pl 1 1 24 * * perl ~/.sysync.pl 1 1 10 * * ~/.sysdbs 删除掉这几行 service crond stop

1 2 下一页